Begrüßung und in eigener Sache

Transkript

1 Begrüßung und in eigener Sache Mandantenveranstaltung zur Informationstechnologie 2016 Holger Klindtworth

2 Ebner Stolz Über uns FAKTEN AUF EINEN BLICK > Mitarbeiter LEISTUNGS- SPEKTRUM Wirtschaftsprüfung, Steuerberatung, Rechtsberatung und Unternehmensberatung aus einer Hand > 100 Partner MANDANTEN Überwiegend mittelständisch, aus allen Branchen Nr. 7 in Deutschland ORGANISATION Mandantenorientiert, interdisziplinäre Teams, flache Hierarchien 168 Mio. Euro Umsatz in 2015 INTERNATIONALES NETZWERK Nexia International mit mehr als 560 Büros in über 120 Ländern 2

3 Fokussierung auf den Mittelstand 10% Durchschnittliches Umsatzwachstum in den letzten fünf Jahren (überwiegend organisch!) UMSATZ IN EUR MIO. MITARBEITER

4 Wir leben den multidisziplinären Ansatz WIRTSCHAFTSPRÜFUNG Jahres- und Konzernabschlussprüfung Internationale Rechnungslegung Sonderprüfungen und sonstige Bestätigungsleistungen Externe Qualitätskontrolle Corporate Finance Unternehmensbewertung IT-Prüfung und IT-Beratung Interne Revision Risiko- und Compliance Management Restrukturierung WIRTSCHAFTS- PRÜFUNG STEUER- BERATUNG STEUERBERATUNG Steuerdeklaration Laufende Steuerberatung Gestaltungsberatung Nachfolgeplanung Internationales Steuerrecht Vermögende Privatpersonen Steuerstreit- und Steuerstrafrecht Jahresabschlusserstellung Finanzbuchhaltung Lohn- und Gehaltsbuchhaltung Arbeitsrecht Erbrecht Gesellschaftsrecht Immobilienrecht Kapitalmarktrecht Corporate Finance Sanierung und Insolvenz Steuerstrafrecht Wettbewerbsrecht und gewerblicher Rechtsschutz RECHTS- BERATUNG UNTERNEHMENS- BERATUNG Corporate Development Corporate Finance Performance Management Controlling und Unternehmenssteuerung Restrukturierung RECHTSBERATUNG UNTERNEHMENSBERATUNG 4

5 Top Ten-Liste führender Wirtschaftsprüfungs- und Steuerberatungsgesellschaften in Deutschland RANG NACH UMSATZ UNTERNEHMEN UMSATZ IN MIO. EURO MITARBEITERZAHL IN DEUTSCHLAND ANZAHL MANDATE NACH 319a HGB Veränd Veränd Rang 1 1 PWC 1.636, ,1 5,9% ,1% Ernst & Young 1.531, ,0 9,2% ,8% KPMG 1.506, ,0 9,0% ,1% Deloitte 789,6 729,4 8,3% ,0% BDO 212,2 207,6 2,2% ,6% Rödl & Partner 183,1 170,0 7,7% ,3% Ebner Stolz 167,8 160,2 4,7% ,2% Baker Tilly Roelfs 137,5 130,5 5,4% ,1% Roever Broenner Susat Mazars 114,0 110,9 2,8% ,4% Warth & Klein Grant Thornton 85,9 76,0 13,0% ,7% 8 8 Quelle: Lünendonk -Liste 2016 Führende Wirtschaftsprüfungs- und Steuerberatungs-Gesellschaften in Deutschland Stand 6. Juli

6 Lokale Nähe Bundesweit 15 Standorte Köln Stuttgart Hamburg München BERLIN BONN BREMEN DÜSSELDORF FRANKFURT HAMBURG HANNOVER KARLSRUHE KÖLN LEIPZIG MÜNCHEN REUTLINGEN SIEGEN SOLINGEN STUTTGART 6

7 GBIT Maskottchen Der Geschäftsbereich IT Revision GBIT

8 Einordnung, Ziele, Arbeitsweise In den Bereichen Projektbegleitungen, Verfahrens- und Prozessprüfung, IT-Systemprüfung, Compliance-Prüfung und Datenschutz haben wir in zahlreichen Aufträgen im Rahmen von Zertifizierungen (Bescheinigungen), Projektbegleitungen, Innenrevisionsaufträgen, Jahresabschlussprüfungen und Beratungsprojekten ein erhebliches Wissen angesammelt, das wir Ihnen gerne zur Verfügung stellen. Die überwiegende Anzahl unserer Mandate beruht dabei auf einem langjährigen Vertrauensverhältnis. Wir sind kompetenter Ansprechpartner rund um alle Projektbegleitungs-, IT- und Innenrevisions-Themen, die mit Compliance, Ordnungsmäßigkeit und Sicherheit zusammenhängen. 8

9 Veränderungen in der Welt Die technologischen Veränderungen der letzten Jahre waren gewaltig, die kommenden werden es auch sein. Die Digitalisierung wird an keinem Unternehmen und keinem Menschen spurlos vorübergehen. Nur wer in der IT frühzeitig Geschwindigkeit, Qualität und Ordnungsmäßigkeit (Compliance) miteinander in Einklang bringt, wird am Markt bestehen. Mitarbeiter Compliance Technologie Change 9

10 Veränderungen im GBIT Um unsere Mandanten auch in Zukunft angemessen betreuen zu können, haben wir das Team um ca. 50% mit erfahrenen Kollegen vergrößert. Mitarbeiter Um näher dran zu sein, haben wir den vierten GBIT Standort in München eröffnet. Compliance Technologie Um den Anforderungen der neuen Zeit gerecht zu werden, haben wir unsere Kompetenzen im Besonderen in den Bereichen IT-Sicherheit, ISMS und ISO sowie in der revisionsnahen IT- Beratung ausgebaut und abgerundet. Change 10

11 Geschäftsbereich IT-Revision Die Qualität der Prüfung steht bei uns im Vordergrund, sie resultiert im Wesentlichen aus der Fachkompetenz und Erfahrung unserer Mitarbeiter: 32 Mitarbeiter Hamburg, Köln, Stuttgart, München mit 5-10 Mitarbeitern pro Standort 16 CISA 4 CIA durchschnittliche Berufserfahrung > 7 Jahre Alle notwendigen einschlägigen Qualifikationen 3 WP und StB (im GB) 3 CISM sowie CFE, CGEIT, CRISC, QA DIIR, QAR IT ISACA 11

12 Themenschwerpunkte des Geschäftsbereichs IT JAP IT-Sicherheit IT Beratung/ Projekte GBIT Zertifizierungen Banken Innenrevision 12

13 Leistungspakete Geschäftsbereich IT-Revision Überblick IT-Revision (JAP) ERP-Prüfung Zertifizierung / Bescheinigung Prüfung JAP (PS 330) IKS-Prüfung (Autom. Kontrollen) SAP-Prüfung Square-Ansatz Software (PS 880) Service/RZ (PS951/IASE3402) Unternehmensberatung Datenanalyse (JET) Prüfung IT-Governance CheckAud (Berechtigungen) NAV-Welt etc. ISMS ISO 27001/ BCM ISO Datenschutz IT-Steuer Datenanalyse Projektbegleitung Steuer E-Bilanz E-Invoice GoBD / Simulation BP / Datenzugriff Archivierung und Kassensysteme Massendaten-Analyse IDEA/ACL Doppelzahlungen Excel-Prüfungen Insolvenzanalysen Projektbegleitung (PS 850) Design / Schulung IKS Migrationsprüfung Redaktionelle Betreuung Internat. Audit / Lizenzprüfung Innenrevision Datenschutz Unterstützung globaler Teams Prozessprüfung Datenschutz-Prüfung/-Check Nexia SOx Prüfung und Beratung Microsoft Lizenzprüfung SAP-Systemvermessung Quality Assessment (QA) Fraud / Computerforensik Risikomanagement, Compliance Stellung ext. Datenschutzbeauftragten Datenschutz-Coaching IT-Valuation IT-Beratung IT-Sicherheit IT-Due-Diligence IT-Strategieberatung Technische IT Sicherheit Corporate Finance Softwarebewertung Softwareauswahl Projektmanagement Beratung IT-Governance / Compliance Beurteilung Sicherheitskonzepte Risikoanalyse / QuickCheck ISMS / BCM Implementierung 13

14 Wir holen die Kuh vom Eis! 14

15 und das kann man nur, wenn man Näher dran ist. Mandantenveranstaltung Geschäftsbereich IT Revision GBIT 2016

16 AGENDA Neues aus der IT Auswirkungen des IT-Sicherheitsgesetzes in der Praxis und ISO Die EU-Datenschutzgrundverordnung Sicherer Datenaustausch Überlegungen zur Digitalisierung Kaffeepause 15:30 Grillbuffet und Getränke ca. 17:30 16

17 WIR SIND IMMER FÜR SIE DA. BERLIN BONN BREMEN DÜSSELDORF FRANKFURT HAMBURG HANNOVER KARLSRUHE KÖLN LEIPZIG HOLGER KLINDTWORTH CISA CIA CISM Partner Tel Fax EBNER STOLZ Ludwig-Erhard-Straße Hamburg Tel Fax MÜNCHEN REUTLINGEN SIEGEN SOLINGEN STUTTGART

18 Update Neues aus der IT Mandantenveranstaltung zur Informationstechnologie 2016 Holger Klindtworth

19 Gliederung Next-Generation-Network Elektronische Reisekostenerfassung Elektronischer Kontoauszug Gesetz gegen Manipulation an Kassensystemen 2

20 Next-Generation-Network 3

21 Next-Generation-Network 1 Alarm- und Gefahrenmeldungen werden heute meistens noch über das analoge Telefonnetz, ISDN oder GSM-Netz übertragen. Heute: heterogene Infrastruktur der Telekommunikation in Deutschland Zukunft: ALL-IP, dabei wird die gesamte bundesweite Netzinfrastruktur zusammengelegt = Next-Generation- Network Umstellung des Netzes laut Telekom bis Ende 2018 (ebenso: ARM/GBE, PSTN und SDH) 4

22 Next-Generation-Network 2 Vorteil für den Kunden bzw. die Unternehmen ist die Konvergenz: Integration in das Unternehmensnetzwerk, somit nur ein Netz für alle Dienste. Jedoch geht gleichzeitig auch ein Umstrukturierungsbedarf einher: Umstellung auf NGN bringt einen nicht unerheblichen finanziellen Aufwand mit sich Änderungen und Anpassungen an der bisherigen Technik, wie Alarm- und Gefahrenmeldeüberwachungstechnik (Alarmanlage, Brandmeldetechnik, Störungsmeldeanlage) sind notwendig 5

23 Next-Generation-Network 3 Durch die Umstellung von ISDN auf NGN müssen auch die im Unternehmen verwendeten Telefonanlagen ausgetauscht werden, da diese gar nicht mehr oder zumindest nicht mehr in dem bisher genutzten Umfang verwendbar sind. Daher sind die bisher eingesetzten Endgeräte auf All-IP-Fähigkeit zu überprüfen und falls notwendig, auszutauschen (Router mit einbezogen). Hinweis: Bestandsanalyse durchführen, die Aufschluss über die nachzurüstenden bzw. auszutauschenden Geräte liefert. 6

24 Elektronische Reisekostenerfassung 7

25 Elektronische Reisekostenerfassung 1 Beispielsweise mit Concur von SAP oder Onexma. Erfassung der Belege für die Reisekostenabrechnung bequem mit dem Smartphone. Fotografieren der Belege (z. B. Bewirtungsbelege, Taxi-Quittungen oder Hotelrechnungen) per App. 8

26 Elektronische Reisekostenerfassung 2 Problematik: die meisten erhaltenen Belege sind nicht personalisierte Belege Unternehmen müssen einen klaren Prozess definieren, um zu gewährleisten, dass keine Manipulation der Belege erfolgen kann. Lösungsvorschläge: keine direkte Vernichtung der Belege Personalisierung von Belegen Belege mit Bearbeitungsvermerken versehen 9

27 Elektronischer Kontoauszug 10

28 Elektronischer Kontoauszug 1 In Zeiten von Online-Banking sind elektronische Kontoauszüge mittlerweile an der Tagesordnung Jedoch reicht der Ausdruck des elektronischen Auszugs bei Bankkunden mit Gewinneinkünften nicht aus, da dieser Ausdruck beweisrechtlich nicht den originären Papierkontoauszügen gleichgestellt ist es muss auch das originäre digitale Dokument aufbewahrt werden. 11

29 Elektronischer Kontoauszug 2 Das bisher genutzte Datenverarbeitungsverfahren muss dabei sicherstellen, das alle erfassten Datenbestände nicht nachträglich unterdrückt oder ohne Kenntlichmachung überschrieben, geändert, verfälscht oder gelöscht werden können. Das Bundesfinanzministerium (BMF) hat am beschlossen, ab sofort auch elektronische Kontoauszüge als Buchungsbeleg anzuerkennen. 12

30 Elektronischer Kontoauszug 3 Anerkannt wird der elektronische Kontoauszug, wenn der Auszug beim Eingang vom Unternehmer auf seine Richtigkeit geprüft wird und er dieses Vorgehen dokumentiert / protokolliert BMF weißt darauf hin, dass die obersten Finanzbehörden anregen, dass Kreditinstitute ihren Bankkunden für einen Zeitraum von 10 Jahren kostenlos eine Zweitschrift ihrer Kontoauszüge bereitstellen. 13

31 Gesetz gegen Manipulation an Kassensystemen 14

32 Gesetz gegen Manipulation an Kassensystemen Referentenentwurf des Gesetzes zum Schutz vor Manipulationen an digitalen Grundaufzeichnungen in Verbindung mit dem Entwurf einer technischen Verordnung (vom ) Zielsetzung Sicherstellung der Unveränderbarkeit der digitalen Grundaufzeichnungen wie bspw. in elektronischen Registerkassen; Ergänzung der Vorschrift 146 AO (Abgabenordung). 15

33 Gesetz gegen Manipulation an Kassensystemen Die Notwendigkeit der Regelungen resultiert aus den heute bestehenden Möglichkeiten, folgende Manipulationen der Kassendaten durchzuführen: nicht dokumentierte Stornierungen nicht erkennbare Änderungen mittels elektronischer Programme Einsatz von Manipulationssoftware (bspw. Phantomware, Zapper) Schwierigkeit im Rahmen der steuerlichen Außenprüfung manipulative Eingriffe festzustellen 16

34 Gesetz gegen Manipulation an Kassensystemen NEU Aufnahme in die Abgabenordnung (AO) der Einzelaufzeichnungspflicht der Geschäftsvorfälle (nach GoBD) auch für die Nutzung elektronischer Aufzeichnungssysteme; Wegfall der möglichen Ausnahmen für die tägliche Aufzeichnung der Kasseneinnahmen und -ausgaben ( 146 Abs. 1 AO-E) Maßnahmen des Referentenentwurfs 1. Zertifizierte technische Sicherheitseinrichtung in einem elektronischen Aufzeichnungssystem 2. Einführung einer Kassen-Nachschau 3. Sanktionierung von Verstößen Erstmalige Anwendung Die erstmalige Anwendung ist vorgesehen für die Wirtschaftsjahre, die nach dem beginnen (in manchen Fällen eine Übergangsregelung bis zum ) Geschätzte Kosten für die Umrüstung Geschätzte Kosten für die Umrüstung für Betriebe mit elektronischen Kassensystemen: ca. 500 Mio. EUR für ca. 2,5 Mio. Kassensysteme in Deutschland 17

35 Gesetz gegen Manipulation an Kassensystemen Protokollierung von digitalen Grundaufzeichnungen im Sinne des 146a Abs. 1 S. 1 der AO Für jede Aufzeichnung eines Geschäftsvorfalls oder anderen Vorgangs muss von einem elektronischen Aufzeichnungssystem eine neue Transaktion gestartet werden 18

36 Gesetz gegen Manipulation an Kassensystemen Die Transaktion hat zu enthalten: den Zeitpunkt des Vorgangsbeginns eine eindeutige und fortlaufende Transaktionsnummer die Art und die Daten des Vorgangs die Zahlungsart den Zeitpunkt der Vorgangsbeendigung oder des Vorgangsabbruchs einen Prüfwert Ausgestellte Belege sollen künftig den Zeitpunkt des Beginns der Transaktion enthalten, die eindeutige Transaktionsnummer soll auf dem Beleg ersichtlich sein. 19

37 Gesetz gegen Manipulation an Kassensystemen 1. Zertifizierte technische Sicherheitseinrichtung in einem elektronischen Aufzeichnungssystem Elektronische Aufzeichnungssysteme im Sinne des 146a Abs. 1 S.1 der AO sind elektronische und computergestützte Kassensysteme oder Registerkassen (keine elektronischen Buchhaltungsprogramme) Die Sicherheitseinrichtung besteht aus einem Sicherheitsmodul, einem Speichermedium ( nicht flüchtig) und einer einheitlichen digitalen Schnittstelle eine direkte Nachprüfung der einzelnen Geschäftsvorfälle sowohl progressiv als auch retrograd Zertifizierungsverfahren (nach 146 Abs. 2 S.2 AO-E): Erlass der technischen Anforderungen per Rechtsverordnung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die technischen Maßnahmen sind technologieoffen ausgelegt 20

38 Gesetz gegen Manipulation an Kassensystemen 2. Einführung einer Kassen-Nachschau Verstärkung der Steuerkontrolle im Bereich der digitalen Grundaufzeichnungen Eigenständiges Verfahren zur zeitnahen Prüfung der Ordnungsmäßigkeit der Kassenaufzeichnungen der ordnungsgemäßen Übernahme der Kassenaufzeichnungen in die Buchführung auch offene Ladenkassen (z. B. Geldkassetten) sind von der Prüfung betroffen Die Kassen-Nachschau erfolgt unangekündigt; formell jedoch keine Außenprüfung i. S. d. 193 AO, bei der Feststellung von Mängeln ist der Übergang zu einer Außenprüfung ohne vorherige Prüfungsanordnung Datenübergabe an Kassenprüfer: Übermittlung der elektronischen Daten über die digitale Schnittstelle oder gespeichert auf einem maschinell auswertbaren Datenträger; Vorlegen der relevanten Aufzeichnungen, Bücher und sonstigen Unterlagen für die Kassenführung 21

39 Gesetz gegen Manipulation an Kassensystemen 3. Sanktionierung von Verstößen (Änderung der Vorschrift 379 AO) Ordnungswidrig handelt derjenige, der ein System verwendet, das nicht den Anforderungen des 146 Abs. 1 S. 1 AO entspricht, seine Daten nicht oder nicht richtig schützt, indem er ein System ohne die nach 146a Abs. 1 S. 2 AO erforderliche Sicherheitseinrichtung nutzt oder eine Software oder ein System gewerbsmäßig bewirbt oder in den Verkehr bringt, die in 146a Abs. 1 Satz 5 AO-E genannt sind. Bußgelder sind nicht nur gegen den Nutzer, sondern auch gegen Anbieter bzw. Verkäufer der Manipulationssoftware möglich. Verstöße können bis zu geahndet werden (unabhängig davon, ob ein steuerlicher Schaden entstanden ist). 22

40 Holger Klindtworth Partner CISA/CIA/CISM Ludwig-Erhard-Straße Hamburg Tel holger.klindtworth@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Vielen Dank für Ihre Aufmerksamkeit 23

41 Mandantenveranstaltung zur Informationstechnologie , Martin Ulbricht, Dr. Rudolf Scheid-Bonnetsmüller

42 AGENDA 1. Vorstellung Veritas Management GmbH 2. Gesetzliche Verpflichtungen 3. IT-Sicherheitsgesetz 4. KRITIS 5. Was ist ein ISMS 6. Die ISO 27001: Cybersecurity Veritas Management GmbH. All Rights Reserved.

43 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 Vorstellung Veritas Management GmbH

44 Veritas Managment GmbH Informationssicherheit für den Mittelstand Seit über 15 Jahren ein verlässlicher Partner für den Mittelstand und Großunternehmen Beratung und Umsetzung von Maßnahmen im Bereich Informationssicherheit und Datenschutz und IT Support, SAP, Infrastruktur und Entwicklung Full-Service-Beratungsansatz basierend auf 2 wesentliche Säulen Veritas Management GmbH. All Rights Reserved.

45 Säulen der Veritas (Voll-Service-Concept) Security Management IT Dienstleistungen IT-Berater Interim Management Audit und Compliance Intermin Management Technical Security Incident Response SAP (z.b. Module: MM, FI/CO, PP) Entwicklung (Java- Entwickler Projektleiter) Support ( First- bis Third- LevelSupport) Infrastruktur Veritas Management GmbH. All Rights Reserved.

46 Audit und Compliance Informationssicherheit: - ISO27001 Vorbereitung - ISO27001 Zertifizierung - Informationssicherheitsmanagement - Sicherheitskonzept - Risikoananalyse - Informationssicherheitsschulung Internes Kontrollsystem: - IKS Einführung - IKS Beschreibung - Prozessoptimierung - ISAE Prüfungskriterien - ISAE Prüfung begleiten Datenschutz: - Datenschutzbeauftragung (DSB) - Datenschutzaudit - Datenschutzkonzept - Datenschutzschulung Business Continuity Management: - Geschäftsprozesse - Business Impact Analyse - Notfallprozesse - Notfallpläne - BCM Konzept und Strategie Veritas Management GmbH. All Rights Reserved.

47 Technical Solution Services Technical & Security Audits Consulting Enterprise & Security Architecture Projekt- Management (Turn Key) IT interims Management Veritas Management GmbH. All Rights Reserved.

48 Recruiting, Executive Search Support (1-3) SAP (alle Module) Entwicklu ng (z.b. Java) Infrastruk tur Datenbank externe Veritas Management GmbH. All Rights Reserved.

49 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 Gesetzliche Verpflichtungen

50 Gesetze, relevant für die Informationssicherheit New Europe Directives REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 (Data Protection) Network and Information Security Directive (NIS Directive) (August 2016) Veritas Management GmbH. All Rights Reserved.

51 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 IT-Sicherheitsgesetz

52 Im Detail Zeitplan IT-Sicherheitsgesetz vom 25. Juli 2015 Inkrafttreten des IT- Sicherheitsgesetzes 25. Juli 2015 Quintessenz Inkrafttreten der Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen Mai 2016 Benennung der Kontaktstelle und Meldung ans BSI November 2016 Umsetzungsfrist Stand der Technik Mai 2018 Änderung bzw. Ergänzung des Energiewirtschaftsgesetzes, des Telemediengesetzes, des Telekommunikationsgesetzes und weiterer Gesetze Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik) Meldung an das BSI bei erheblichen IT-Sicherheitsvorfällen, die Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können Pflicht zur Überprüfung der Absicherung (Überprüfung und Nachweis alle 2 Jahre) Benennung einer Kontaktstelle Meldung von IT-Störungen Stand der Technik umsetzen Veritas Management GmbH. All Rights Reserved.

53 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 KRITIS

54 Hintergrund Begriffsdefinition KRITIS Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Quelle: Bundesamtes für Sicherheit in der Informationstechnik (BSI) Steigende Abhängigkeit der Gesellschaft von technischen Systemen Funktionsfähige Informations- und Kommunikationstechnik ist grundlegende Voraussetzung im Versorgungsumfeld Ausfall hätte dramatische Folgen für Wirtschaft, Staat und Gesellschaft Technische Systeme und Einrichtungen sind wiederum abhängig davon, dass deren sog. Basisdienste ordnungsgemäß und störungsfrei funktionieren. Diese Basisdienste fallen unter die sog. Kritischen Infrastrukturen (KRITIS) Veritas Management GmbH. All Rights Reserved.

55 KRITIS Basisdienste Organisationen und Einrichtungen Energieversorgung Informationstechnik und Telekommunikation Transport und Verkehr Gesundheit Wasser Ernährung Finanz- und Versicherungswesen Staat und Verwaltung Medien und Kultur In jedem Sektor gelten verschiedene Kriterien und Schwellenwerte. Bei Überschreitung ab 2015 gilt der Betreiber als KRITIS. Zu bewerten ist dabei immer für das zurückliegende Kalenderjahr bis zum 31. März des Folgejahres. 15

56 KRITIS-Betreiber: Festlegung der Schwellenwerte (1/2) IKT Energie Stromerzeugung Wasser Fernwärmeversorgung div. Berechnungsmethoden Gasversorgung Ernährung Kraftstoffund Heizölversorgung 16 16

57 KRITIS-Betreiber im Energiesektor: Festlegung der Schwellenwerte (2/2) KRITIS-Zugehörigkeit bestimmt sich nach jeweiliger Untergruppe Stromversorgung Gasversorgung Kraftstoff- und Heizölversorgung Fernwärmeversorgung z.b. (dezentrale) Erzeugungs- oder Speicheranlage: installierte Netto- Nennleistung (elektr.) in MW = 420 z.b. Gasspeicher oder Gasverteiler-netz: Entnommene Arbeit in GWh/Jahr = z.b. Mineralölfernleitung: Transportierte Rohölmenge oder Produktenmenge in Tonnen/Jahr = z.b. Heizwerk oder Heizkraftwerk: Ausgeleitete Wärmeenergie in GWh/Jahr = Detailaufstellungen s. BSI-KritisV, Anhang 1 17

58 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 Was ist ein ISMS (InformationsSicherheitManagementSystem)

59 Was ist ein ISMS Ein Informationssicherheits- Managementsystem (ISMS) ist ein System aus Leitlinien, Verfahren, Regelungen und zugehörigen Ressourcen, welche dazu dienen, die Ziele einer Organisation im Bereich Informationssicherheit zu erreichen. 19

60 Ziele eines ISMS Informationssicherheit dient dem Schutz vor: Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Mit der internationalen Norm ISO/IEC 27001:2013 existiert ein weltweit anerkanntes und durch unabhängige Stellen zertifizierungsfähiges Informationssicherheits-Managementsystem, mit dessen Hilfe Informationssicherheit in Unternehmen jeder Größe und Branche etabliert werden kann. 20

61 Was ist ISO und was nicht ISO/IEC ist Ein Dokument mit 34 Standard-Seiten Eine Sammlung von Anforderungen an ein Information Security Management System (ISMS) Ein internationaler, zertifizierbarer Standard zum Management der Informationssicherheit Ein zentraler Bestandteil der ISO/IEC Standardfamilie In Bereichen überlappend mit ISO 9001 und ISO/IEC ISO/IEC ist nicht Geeignet zur Bewertung von Sicherheitstechnik oder Software Ein fertiges Referenzmodell für ein ISMS Ohne Hintergrundwissen oder Sekundärliteratur einsetzbar 21

62 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 Die ISO 27001:2013

63 Der Weg zur ISO Zertifizierung Unterstützung bei der Vorbereitung In Abstimmung Akkreditierter ISO Lead Auditor Zu zertifizierende(r) Gesellschaft/Verbund Multi-Site und nicht Multi-Site im Verbund Zertifizierungsstelle Erteilt Zertifikat Direkter Vertragspartner Externe Kosten abhängig vom Scope und interner Leistung. 23

64 Multi-Site-/shared ISMS-Ansatz als weiteres Synergienpotenzial Das ISMS muss nicht pro Gesellschaft aufgebaut werden, vielmehr kann ein einheitliches über alle rechtlich unselbstständigen Einheiten (multi-site) und/oder über alle rechtlich selbständigen Einheiten (shared ISMS) einheitliches ISMS eingeführt und entsprechend zertifiziert werden. Je mehr gemeinsam genutzte Ressourcen zwischen den Einheiten und je mehr einheitliche Strukturen sowie einheitliche Prozesse vorliegen, um so höher ist das Synergiepotential. Durch den übergreifenden Implementierungsansatz werden konzernweit Doppel-arbeiten verhindert. Ein typisches Beispiel ist die gemeinsame Nutzung eines zentralen Rechenzentrums mit teilweise einheitlicher Anwendungsumgebung. Hier kann durch die einmalige Beurteilung der ISO- Anforderungen die Normenerfüllung und Risikobeurteilung für alle beteiligten bzw. angeschlossenen Einheiten erfolgen. Die daraus entstehende Komplexität kann durch einen gezielten Tool-Einsatz kompensiert werden. Gerne stellen wir Ihnen diesen Ansatz gesondert dar. 24

65 Der Zertifizierungszyklus AUSSTELLUNG DES ZERTIFIKATS NEUBEGINN DES ZERTIFIZIERUNGSZYKLUS Dreijähriger Zertifizierungszyklus ÜBERWACHUNGSAUDIT Das erste findet zehn Monate nach dem Abschluss der Stufe 2 und danach alle zwölf Monate (bzw. sechs Monate) statt REZERTIFIZIERUNG Drei Monate bevor sich Ihr Zertifikat zum dritten Mal jährt, werden wir Sie für ein erneutes Audit besuchen ABWEICHUNGEN Diese werden während der Überwachungsaudits herausgestellt und müssen auf die gleiche Weise beseitigt werden wie bei einem Audit in Stufe 2 25

66 MANDANTENVERANSTALTUNG ZUR INFORMATIONSTECHNOLOGIE 2016 Cybersecurity

67 Cybersecurity Ansichtssache IT Security Specialist CYBERSECURITY: Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informationsund Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber- Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Ein Einsatzkommando in einem Science Fiction Film. Der Nickname von Robocop in Facebook. Der Name eines Strategiespieles. Ein Organisation für Cyber und Security. User Hmm, klingt teuer. Diese Cyber-Leute sind mir unheimlich. Wir sind sicher im Gegensatz zu den anderen. Jeder sollte einen haben. Manager Veritas Management GmbH. All Rights Reserved.

68 Current Threats & Vulnerabilities Cybercrime as a service Quellen: McAfee, Symantec, diverse Hackerforen Veritas Management GmbH. All Rights Reserved.

69 Untergrund Hacker Markt Cybercrime as a service DDoS Attacks; Free 5-10 Minute DDoS Tests Offered Providing DDoS Attacks remains a popular service offered by hackers on the underground hacker markets. Security experts discovered that DDoS Attack services on several Underground markets cost the following: $5 per hour $50 per day $200 to $350 per week (the higher price is charged if the target website has anti-ddos protection installed) $1,000 per month Plus, most of the hackers offer a variety of DDoS attacks including: UDP Flood TCP Flood HTTP/HTTPS Flood SYN Flood The hackers accept WebMoney and Yandex.Money, and some accept Bitcoin Veritas Management GmbH. All Rights Reserved.

70 Untergrund Hacker Markt Cybercrime as a service Veritas Management GmbH. All Rights Reserved.

71 Dr. Rudolf Scheid-Bonnetsmüller Geschäftsführer Delivery Veritas Management GmbH D Schliersee Telefon: +49 (0) Telefax: +49 (0) Mobil: Martin Ulbricht Geschäftsführer Sales Veritas Management GmbH D Schliersee Tel.: Fax: Mobil: 0170 / m.ulbricht@veritas-group.de Vielen Dank für Ihre Aufmerksamkeit! Veritas Management GmbH. All Rights Reserved.

72 Ansprechpartner bei Ebner Stolz Mark Butzke Partner WP StB - CISA Holger Klindtworth Partner CISA CIA CISM Ebner Stolz Arnulfstr München Ebner Stolz Ludwig-Erhard-Straße Hamburg mark.butzke@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft holger.klindtworth@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft 32

73 EU-Datenschutzgrundverordnung Die Safe Harbor -Entscheidung und die Konsequenzen Mandantenveranstaltung zur Informationstechnologie 2016 Dr. Björn Schallock Claudia Stange-Gathmann

74 Überblick 1. Einleitung 2. Was wird kommen? Einzelne exemplarische Änderungen 3. Wie machen Sie Ihr Unternehmen fit für die DS-GVO? 4. Fazit 5. Exkurs: Safe Harbor und die Konsequenzen für Datenübermittlungen in die USA 2

75 1. Einleitung 3

76 EU-Datenschutzgrundverordnung (DS-GVO) Harmonisierung des Datenschutzes in allen 28 Mitgliedstaaten Am 14. April 2016 vom Europäischen Parlament verabschiedet 4

77 Die neue Datenschutz- Grundverordnung wird das Recht endlich auf den Stand des digitalen Zeitalters bringen und das in 28 Mitgliedstaaten der EU einheitlich. 16. Dezember 2015 Heiko Maas Bundesminister der Justiz und für Verbraucherschutz 5

78 Die neue EU-Datenschutzgrundverordnung Fragestellungen 1. deutschen 2. datenschutzrechtlichen 3. Sie 4. Was Ab wann gelten die neuen Regeln und was bleibt unter Geltung des neuen Rechts vom Datenschutzrecht übrig? Was tritt an die Stelle des Bundesdatenschutzgesetzes und die zahlreichen Vorschriften in sonstigen Gesetzen? Was gilt in der Übergangszeit bis zum Inkrafttreten des neuen Rechts und worauf müssen sich einstellen? bedeutet das für die Unternehmen/Wirtschaft? 6

79 EU-Datenschutzgrundverordnung Generelles Inkrafttreten & unmittelbare Wirkung am 25. Mai 2016 in Kraft getreten / gültig ab 25. Mai 2018! Unternehmen sind gehalten, während dieser Frist ihre Datenverarbeitungsprozesse und interne Organisation für das kommende Recht fit zu machen. DS-GVO gilt im Territorium der gesamten EU unmittelbar, bedarf also nicht unbedingt einer Umsetzung durch deutschen Gesetzgeber (Art. 288 AEUV) Deutsches BDSG wird in Teilbereichen weiterhin anwendbar sein, da Staaten teilweise von der DS- GVO abweichen dürfen -> nationalstaatliche Regelungen aufgrund Öffnungsklauseln möglich Allgemeines Bundesdatenschutzgesetz (ABDSG) wird kommen Europäischer Datenschutzausschuss (Art. 64 DS-GVO) z. B. Stellungnahme zu Standard- Datenschutzklauseln, verbindlichen internen Datenschutzvorschriften einer Unternehmensgruppe In der Übergangszeit bis Geltungsbeginn der DS-GVO gilt weiterhin das BDSG 7

80 EU-Datenschutzgrundverordnung Aufbau Kapitel 10 und 11: Delegierte Rechtsakte, Schlussbestimmungen Kapitel 1: Allgemeine Bestimmungen Kapitel 2: Grundsätze Kapitel 9: Vorschriften für besondere Verarbeitungen Struktur der DS-GVO Kapitel 3: Betroffenenrechte Kapitel 8: Sanktionen, Haftung und Rechtsbehelfe Kapitel 4: Verantwortlicher und Auftragsbearbeiter Kapitel 6, 7: Aufsichtsbehörden Kapitel 5: Übermittlungen in Drittländer 8

81 2. Was wird kommen? Einzelne exemplarische Änderungen 9

82 Was wird kommen? Ausgewählte Änderungen Maßgeblich: Werden Waren/Dienstleistungen in der EU angeboten, dann gelten die Anforderungen der DS-GVO (Art. 3 DS-GVO), Sitz des anbietenden Unternehmens spielt dagegen keine Rolle Marktortprinzip Betroffenenrechte (Art DS-GVO): Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person verpflichtender Informationskatalog in der GVO aufgeführt (Art. 13 DS-GVO) Informationspflicht, wenn nicht bei der betroffenen Person erhoben wurde (Art. 14 DS-GVO) ebenfalls verpflichtender Informationskatalog in der GVO, Frist: max. 1 Monat Recht auf Löschung und Vergessen werden (Art. 17 DS-GVO) Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO) Datenübertragbarkeit (Art. 20 DS-GVO): Recht auf Kopie und direkte Übertragung von einem Verantwortlichen zu einem anderen Verantwortlichen Beschwerderecht (Art. 77, 79 DS-GVO), Verbandsklagerechte (Art. 80 DS-GVO) Schadensersatzansprüche bei materiellen und immateriellen Schäden (Art. 82 DS-GVO) 10

83 Was wird kommen? Ausgewählte Änderungen Technischer Datenschutz Datenschutz durch entsprechende Technik und datenschutzfreundliche Voreinstellungen Privacy by design & by default (Art. 25 DS-GVO) Verpflichtung geeignete technische und organisatorische Maßnahmen (TOMs) für IT-Systeme nach dem Stand der Technik und risikoorientiert zu treffen (Art. 32 DS-GVO) Meldepflichten bei Datenschutzverstößen an Aufsichtsbehörden unverzüglich oder binnen 72 Stunden Überschreitungen müssen begründet werden (Art 33 DS-GVO) Auftragsverarbeiter meldet unverzüglich an Verantwortlichen (Art. 33 DS-GVO) unverzüglich auch an die betroffene Person (Art. 34 DS-GVO) Datenschutz- Folgenabschätzung bei Datenverarbeitungen mit besonderen Risiken für den Schutz von personenbezogenen Daten vor der Verarbeitung einzuholen (Art. 35 DS-GVO) 11

84 Was wird kommen? Ausgewählte Änderungen Betrieblicher Datenschutzbeauftragter (Art DS-GVO) Haftung und Sanktionen v.a. Art DS-GVO Kontaktdaten des DSB sind zu veröffentlichen und der DSB ist der Datenschutzbehörde zu benennen Betrieblicher Datenschutzbeauftragter muss nunmehr überwachen statt nur hinzuwirken auf die Einhaltung von Datenschutzvorschriften Pflicht zur Zusammenarbeit mit der jeweiligen Aufsichtsbehörde und deren Anlaufstelle Bußgeld von bis zu EUR oder 2% des weltweiten Jahresumsatzes möglich, z. B. bei Verstößen gegen Art. 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) oder Art. 32 (Sicherheit der Verarbeitung) Höhere Bußgelder möglich (4% d. Konzernumsatzes - bis zu 20 Mio. für Verantwortliche!), beispielsweise Verstöße gegen die Grundsätze der Verarbeitung oder Rechte der Betroffenen Beschwerde des Betroffenen bei der Aufsichtsbehörde möglich (Art. 78 DS-GVO) zusätzlich Recht der Betroffenen auf wirksame gerichtliche Hilfe (Art. 79 DS-GVO) 12

85 Was wird kommen? Ausgewählte Änderungen Informationspflichten gegenüber den Betroffenen und vor allem Dokumentationspflichten an vielen Stellen in der DS-GVO verankert: Unternehmen müssen nachweisen können, wie sie die Betroffenen jeweils unterrichtet und was sie zur Einhaltung der Vorschriften aus der DS-GVO getan haben, z. B.: Art. 24 DS-GVO: umfassende Dokumentations- und Nachweispflichten des Verantwortlichen wer erfüllt welche Verpflichtung der DS-GVO bei gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 DS-GVO Pflicht zum Verarbeitungsverzeichnis (Art. 30 DS-GVO), öffentliches Verzeichnis entfällt TOMs zur Sicherheit der Verarbeitung sind auszuarbeiten & Umsetzung nachzuweisen (Art. 32) Meldepflichten bei Schutzverletzung bezüglich personenbezogenen Daten (Art. 33, 34 DS-GVO) Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) zur Präzisierung sind Verhaltensregeln und Zertifizierungen geplant (Art. 40, 42 DS-GVO) Erstellung von internen DS-Richtlinien, Schulungen für Mitarbeiter, 13

86 3. Wie machen Sie Ihr Unternehmen fit für die DS-GVO? 14

87 Wie machen Sie Ihr Unternehmen fit für die DS-GVO? Projekt- bzw. Zeitplan bis Mai 2018 erstellen DS-GVO erfordert höheres Maß an Transparenz! Risikoanalyse durchführen: eigene Prozesse analysieren, Klassifizierung der Daten GAP-Analyse zwischen Ist- und späterem Soll-Zustand interne Datenschutzstrukturen anpassen technische Möglichkeiten zur Umsetzung schaffen! Das heißt: Generell umfassende Dokumentationspflichten, siehe nur Art. 24 DS-GVO! Pflicht zur Umsetzung der erforderlichen TOMs und zum Nachweis all dieser Maßnahmen datenschutzkonformes Vertragsmanagement, Vertragsanpassungen mit Dienstleistern meist erforderlich (nicht nur in Konstellationen mit Auftragsdatenverarbeitungen) Pläne für interne Abläufe prüfen und anpassen, z. B. Beschwerdemanagement o.ä., Erstellung und Implementierung von DS-Richtlinien Einbindung des eigenen DSB und am besten auch des Betriebsrates ist erforderlich DSB hat Kontroll- und Beratungspflichten, teilweise auch Meldepflichten gegenüber den Aufsichtsbehörden 15

88 4. Fazit 16

89 Fazit Die EU-DS-Grundverordnung trägt zur Vereinheitlichung des europäischen Binnenmarktes bei gleiche Wettbewerbsbedingungen. Im Mittelpunkt steht die Vorstellung, dass Datenschutz ein Grundrecht ist. Damit dies erreicht werden kann, müssen die Organisationen auf Privacy by Design, Privacy by Default und Verantwortlichkeit bestehen. Vereinheitlichung des Datenschutzrechts in den EU Mitgliedstaaten nicht voll erreicht -> Länderregelungen, Interpretationsspielraum Unsere Prognose: Die teilweise Absenkung des Datenschutzes in Deutschland wird durch Nutzung nationaler Entscheidungsspielräume verhindert werden, wahrscheinlich ist z. B. verbindliche Bestellung des betrieblichen Datenschutzbeauftragten, Regelungen zu Beschäftigtendatenschutz Die zwei Jahre Umsetzungsfrist laufen! Werden sie aktiv wir helfen Ihnen dabei! 17

90 5. Exkurs: Safe Harbor und die Konsequenzen für Datenübermittlungen in die USA 18

91 Warum können wir eigentlich nicht alle Signale immer abfangen? General Keith Alexander ehem. Direktor der NSA 19

92 1. Hintergrund EU-Datenschutz-RL verbietet Datentransfer in Drittstaat, welcher nicht über ein mit EU-Recht vergleichbares Datenschutzniveau verfügt Dorthin Datentransfer nur möglich, wenn EU-Kommission in diesem Drittland das Bestehen angemessenen Datenschutzes feststellt Safe Harbor war Bezeichnung für quasi- Abkommen zwischen EU und USA zum grenzüberschreitenden Datenschutz aus 2000 Dieses wurde vom EuGH (Urt. v , C-362/14) für unwirksam erklärt, wegen Unvereinbarkeit mit den Vorgaben der EU-Datenschutz-RL Begründungen für die Entscheidung: kein angemessener Datenschutz in den USA (vgl. nur NSA-Überwachung, Snowdon, ) keine Bindung der US-Behörden an das Abkommen kein angemessenes Schutzniveau: faktisch anlasslose Einschränkung des Datenschutzes möglich keine effektive gerichtliche Kontrolle in den USA Ergebnis: Solche Datenübertragungen sind rechtswidrig, Verstöße werden von den Aufsichtsbehörden anlassunabhängig verfolgt! Es drohen Untersagungsanordnungen sowie die Verhängung von Bußgeldern! 20

93 2. Welche Unternehmen sind betroffen? USA- Bezug Nur Unternehmen betroffen, die personenbezogene Daten in die USA transferieren aber Problemfälle: Cloud-Anbieter, Datenweitergabe im internationalen Konzern, 21

94 3. Akute Lösungsmöglichkeiten für Unternehmen Explizite Einwilligung von Betroffenen einholen als momentan gangbarster Weg? Praktisch nur schwer umzusetzen! Einwilligungserklärung müsste Zusammenfassung der Erkenntnisse über Datenzugriffe der amerikanischen Geheimdienste enthalten Einwilligung kann jederzeit widerrufen werden / keine Rechtssicherheit Verschlüsselung der Daten? funktioniert aber eher bei data storage, nicht bei Datenverarbeitungen dort Problem auch: gängige Verschlüsselungsmethoden für NSA kein Problem Verwendung von sog. Standardvertragsklauseln der EU = Vertragsklauseln mit Garantien dem Grunde nach von EuGH-Urteil nicht direkt betroffen aber: nach den Grundsätzen des EuGH-Urteils sind auch Standardvertragsklauseln im Verhältnis EU-USA keine echte Alternative mehr Datenschutzbeauftragter Hamburg: Zwar bis zum Abschluss der Prüfung der aktuell verhandelten neuen EU-U.S. Privacy Shield -Regelungen Duldung dieser Standardvertragsklauseln bzw. bestehender BCR. Problem: im Prinzip dieselben rechtsstaatlichen Defizite wie Safe Harbor 22

95 3. Akute Lösungsmöglichkeiten für Unternehmen Binding Corporate Rules (BCR) Konkrete Einzelverträge zwischen Daten- Importeur und -Exporteur Selbstverpflichtungen / nur innerhalb von Konzernen, Unternehmensverbünden Aber auch hier: Selbst wohlformulierte BCRs können staatlichen Zugriff auf die personenbezogenen Daten in den USA nicht verhindern, z. B. bei Tochterunternehmen in den USA Letztlich gelten hier die Erwägungen zu den rechtsstaatlichen Defiziten wie bei Safe Harbor entsprechend Datenimporteuer müsste umfassend auf die EU Datenschutzvorschriften und zu Informationserteilung verpflichtet werden. Schaffung technischer Vorkehrungen zur Anzeige von ungewöhnlichen Zugriffen auf Daten Problem bleibt auch hier: Ermächtigungen und ungehinderte Zugriffe der US-Behörden 23

96 3. Akute Lösungsmöglichkeiten für Unternehmen Was bleibt sonst? kein Datentransfer mehr in die USA, also Speicherung/Verarbeitung aller Daten in der EU Nur noch analoge Übersendung von Daten!? Anonymisierung der betroffenen Daten vor Übermittlung 24

97 Kein sicherer Hafen mehr: Safe Harbor Safe Harbor ist tot, es lebe der Privacy Shield! 25

98 4. Nunmehr verabschiedet : EU-US Privacy Shield (quasi- Nachfolger zu Safe Harbor ) Entwurf wurde im Januar / Februar 2016 von der EU-Kommission vorgestellt Inhalt: Zugriff auf personenbezogene Daten durch US-Behörden begrenzt keine wahllose Massenüberwachung mehr, aber Ausnahmen zum Schutz der nationalen Sicherheit (??) oder aus Gründen der Rechtsdurchsetzung Einrichtung einer Ombudsstelle beim US-Außenministerium für Beschwerden Seit 1. August 2016 können Datenverarbeiter in den USA sich dafür zertifizieren lassen Problem: Reicht vermutlich alles nicht, um Anforderungen des EuGH gerecht zu werden => Es droht auch hierzu mittelfristig eine ähnliche Gerichtsentscheidung wie bei Safe Harbor 26

99 Vielen Dank für Ihre Aufmerksamkeit! Dr. Björn Schallock Ludwig-Erhard-Straße Hamburg Tel bjoern.schallock@ebnerstolz.de Rechtsanwalt, Prokurist Fachanwalt für gewerblichen Rechtsschutz Fachanwalt für IT-Recht Ludwig-Erhard-Straße Hamburg Tel claudia.stange@ebnerstolz.de Claudia Stange-Gathmann Prokuristin CIA, CISA, CISM, QA(DIIR) 27

100 Datenaustausch Mandantenveranstaltung zur Informationstechnologie 2016

101 Gliederung Die Datenaustausch im Team Intranet / Extranet Datenaustausch via Plattformen Datenaustausch in der Cloud Fazit 2

102 Die 3

103 Die Im Jahr 2015 wurden in Deutschland rund 537,1 Milliarden s verschickt (ohne Spam), das sind rund 1,47 Milliarden s pro Tag (lt. Statista). Dabei beträgt die Anzahl der Spam- s in Deutschland pro Tag rund 105,9 Millionen (lt. Statista). Weltweit wird das -Aufkommen im Jahr 2016 auf rund 215,3 Milliarden s pro Tag prognostiziert (lt. Statista). 4

104 Die Totale -Flut s sind unstrukturierte Daten Keine thematische Gliederung Kein thematisches Aufgabengebiet ( Wer hat das Buch geklaut, im Bistro steht noch Essen ) s sind ungeordnete empfangene Handelsbriefe ist Schadsoftware 5

105 Datenaustausch im Team (Collaboration Tools) 6

106 Collaboration Tools Allgemein Collaboration steht für eine Fülle von Maßnahmen zur dezentralen computergestützten Zusammenarbeit von zeitlich oder räumlich getrennten Teams und Gruppen. Collaboration-Tools unterstützen Unternehmen in der alltäglichen Zusammenarbeit, intern sowie extern. Funktionen und Aufgaben sind unter anderem: Mindmapping, Diskussionen, Video- und Audio- Konferenzen, Projektfortschritt sowie Instant Messenger Wissen kann in Wikis organisiert werden und erste Entwürfe / Vorschläge können über Reviewing-Dienste freigegeben werden. Zeit wird gespart sowie Teamarbeit vereinfacht. Wer Collaboration-Tools konsequent nutzt und kombiniert, kann Arbeitsabläufe optimieren 7

107 Collaboration Tools Einsatzfelder 1 Projektarbeit/ Geschäftsprozesse Gemeinsamer Zugriff auf bisher vorliegende Informationen und erarbeitete Ergebnisse. Bearbeitung der jeweils aktuellen Version. Transparenz über den aktuellen Bearbeitungsstand (Reduktion von Doppelarbeiten). Nutzung von Workflow-Funktionalitäten. Transparenz über Ressourcen und die Kostensituation. Einkauf (Weltweite) Bündelung von Einkäufen, um größere Mengen nachfragen zu können und bessere Konditionen zu erhalten. Aufgabenerstellung Nutzung von gemeinsamen Standards und unternehmensweite Zugriffsmöglichkeit auf die Angebotshistorie. Leichtere Zusammenführung von Einzelbeiträgen best. Organisationseinheiten zu einem Gesamtangebot. Verhinderung, dass unterschiedliche Niederlassungen einem Kunden unterschiedliche Preise nennen. 8

108 Collaboration Tools Einsatzfelder 2 Vertragsmanagement Elektronischer Zugriff auf die benötigten Vertragsunterlagen, auch z. B., wenn der Sachbearbeiter im Urlaub ist. Leichtere Vertragsabstimmungen im internationalen Umfeld. Stärkere Einbindung des Kunden und der Lieferanten. Kunden-/ Lieferantenbeziehung Wissensmanagement Aufbauen einer Knowledgebase. Zentraler Ablageort und Anlaufpunkt für Fachwissen. 9

109 Collaboration Tools Collaboration Tools als unterstützendes Werkzeug Resultate Mensch Aktionen Entscheidungen Wissen Information Know-why Know-what Know-how Daten Maschine 10

110 Collaboration Tools Was muss es bringen? Effiziente Zusammenarbeit. Projekte gewinnen an Geschwindigkeit. Entscheidungen werden wegen der Verfügbarkeit von Information (Echtzeit) oder Menschen mit dem benötigten Know-how schnell getroffen. Zusammenarbeit mit Lieferanten oder Kunden wird verbessert. Risiken werden durch bessere Steuerungsmöglichkeiten und eine höhere Transparenz minimiert. 11

111 Collaboration Tools Wikis Wissensmanagement/ Knowledgebase Abgrenzung zu Intranets Informationsaustausch im Wiki Das Thema Wissensmanagement/ Knowledgebase gewinnt zunehmend an Wichtigkeit. Mithilfe von Team-Tools soll den Mitarbeitern im Unternehmen der Zugriff auf das Wissen Ihrer Kollegen ermöglicht werden. Möglichkeit eines firmeninternen Wikis. Wikis sind eigens installierte Tools; diese sollten nicht mit dem Intranet des Unternehmens verwechselt werden. Intranet als firmeninternes Informationssystem, aber nicht als Wissensplattform Durch die Erstellung von unternehmensrelevanten Kategorien und die entsprechende Platzierung von Themen kann so eine Wissensdatenbank ins Leben gerufen werden und jeder Mitarbeiter kann Themen um sein Wissen ergänzen. 12

112 Datenaustausch mit der Umwelt 13

113 Collaboration Tools & Austauschplattformen Wieso? Aufgrund der steigenden Datenmengen im Austausch mit Kunden/Mandaten/Lieferanten ist der Bedarf nach einer schlanken und schnellen Lösung zum Austausch von Dateien mit Kunden/Mandanten/Lieferanten gestiegen. 14

114 Austauschplattformen Die Wichtigsten 4 Gründe 1 Datensicherheit Einfachheit Austauschplattformen Nachvollziehbarkeit Automatisierung 15

115 Austauschplattformen Die Wichtigsten 4 Gründe 2 Datensicherheit Daten sind Ende-zu-Ende verschlüsselt Sicherstellung ordnungsgemäßer Einhaltung Datenschutzrichtlinien Administration der Zugriffsberechtigten Einfachheit Einfache Bedienung (Meistens) keine Installation einer Software notwendig Nachvollziehbarkeit Überblick der abgelegten Daten Änderungen / Bearbeitung können nachvollzogen werden Automatisierung Prozesse sind effektiver und effizienter 16

116 Austauschplattformen Allgemeine Anforderungen 1 Inhouse Anbindung an vorhandene Systeme Größe skalierbar Auch mit wenig Lizenzen beginnend und dann nach Bedarf aufstocken Sicherheit Mindestanforderung Kennwortrichtlinien und Rechtekonzept End-2-End-Verschlüsselung Hohe Sicherheit für sensible Projekte => auch abhängig vom Preis 17

117 Austauschplattformen Allgemeine Anforderungen 2 Benachrichtigung Aktive Benachrichtigung bei Up- und Download Volumenbeschränkung Einstellbar / Skalierbar Mobilität Kompatibel mit Mobile-Apps 18

118 Austauschplattformen Allgemeine Anforderungen 3 Verwaltung Gute Usability Hoher Komfort für Kunden/Mandanten/Lieferanten Durch Fachkraft selbst verwaltbarer Datenraum (wie kann man den Überblick behalten? abgelaufene Links, aktive Datenräume verwalten) Rechtevergabe und Anlage von externen Benutzern Gültigkeit der Verfügbarkeit Gültigkeit des Links zeitlich einschränkbar Sicherung Backup / Journalisierung aller übertragenen Dokumente Passende Dokumente zur Journalisierung 19

119 Collaboration Tools & Austauschplattformen Beispiele 20

120 Austauschplattformen & Collaboration Tools Ziele Workflows Prozesse vereinfachen und beschleunigen Content Management Bereitstellen der Unterlagen Kommunikation Einfache Einbindung von Mitarbeitern Teamarbeit Effiziente Zusammenarbeit Produktivität steigern Sicherheit End-2-End Verschlüsselung 21

121 Datenaustausch im dezentralen Team am Beispiel des GBIT-Forums 22

122 GBIT-Forum 23

123 GBIT-Forum Das GBIT-Forum basiert auf phpbb (eine freie und kostenlose Forensoftware). Das GBIT-Forum dient allen GBIT-Mitarbeitern als zentraler Anlaufpunkt zum Informationsaustausch. Das Forum ist in einzelne Kategorien unterteilt: Fachbezogene Themen GBIT Intern Sonstiges somit fällt eine Einordnung des Anliegens einfach und die Struktur bleibt erhalten. Verwaltet wird das GBIT-Forum durch drei Administratoren, die bei Bedarf neue Themen anlegen. Ziel ist es, eine Art Wissensplattform sowie Nachschlageseite und Anlaufstelle für Fragen und Antworten zu errichten, die das GBIT-Team in der täglichen Arbeit unterstützt. 24

124 Datenaustausch via Cloud Computing 25

125 Cloud Computing Allgemein Cloud Computing gehört (immer noch) zu den wichtigsten Trends in der Unternehmens-IT. Outsourcing in das Internet. Wesentlich als Grundlage für Tools und Plattformen. 26

126 Cloud Computing Die Idee Die Idee IT-Ressourcen werden über das Internet bedarfsgerecht idealerweise über ein Self- Service-Portal bereitgestellt und nach dem tatsächlichen Verbrauch abgerechnet. Die Protagonisten des Cloud-Konzepts versprechen mehr Flexibilität, nahezu unbegrenzte Skalierbarkeit und niedrigere Kosten. Quelle: Wikipedia 27

127 Cloud Computing FAIT 5 IDW RS FAIT 5 Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen einschließlich Cloud Computing Konkretisierung der Anforderung der 238, 239 und 257 HGB ( Führung von Handelsbüchern mittels IT-gestützter Systeme, die sich bei der Auslagerung von rechnungslegungsrelevanten Prozessen und Funktionen (IT-Outsourcing) ergeben). Bei allen Arten des Outsourcings und damit auch beim Cloud Computing verbleibt die Verantwortung für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen bei den gesetzlichen Vertretern des auslagernden Unternehmens. Aus diesem Grund müssen die gesetzlichen Vertreter die aus dem Outsourcing entstehenden Risiken und die damit verbundenen Auswirkungen auf das interne Kontrollsystem des Unternehmens beachten. Quelle: IDW 28

128 IT-Kontrollsystem (IT-Organisation/-Umfeld) Cloud Computing FAIT 5 IT-System Typisierter Aufbau ohne Einsatz von Cloud Computing IT-System Typisierter Aufbau bei Einsatz von Cloud Computing Cloud Computing Servicemodelle IT-gestützte Geschäftsprozess IT-gestützter Geschäftsprozess Service Orchestrierung Software as a Service (SaaS) IT-Anwendungen IT-Anwendungen Multi-Tenancy Platform as a Service (PaaS) IT-Infrastruktur Betriebssysteme Netzwerke Hardware Rechenzentrum IT-Infrastruktur Elastische Provisionierung (Virtualisierung) Betriebssysteme Netzwerke Hardware Internet Daten-Lokation Rechenzentren Infrastructure as a Service (IaaS) 29

129 30

130 Fazit Verringerung des unbeherrschbaren -Verkehrs Steigern die Effektivität und Effizienz innerhalb des Unternehmens Zentraler Ablageort der Unterlagen und Dokumente (SMART-Archiv) Nachvollziehbarkeit Überblick über den aktuellen Projektstatus Verbesserte Sicherheit 31

131 Holger Klindtworth Partner CISA/CIA/CISM Ludwig-Erhard-Straße Hamburg Tel holger.klindtworth@ebnerstolz.de Ebner Stolz GmbH & Co. KG Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Vielen Dank für Ihre Aufmerksamkeit 32

132 Gedanken zur Digitalisierung Mandantenveranstaltung zur Informationstechnologie 2016 Holger Klindtworth

133 Digitalisierung am Beispiel Handel" Internet ist immer und überall Digitalisierung des Handels (Digital Commerce) Smartphone-Intensivnutzer beschleunigen das Online- & Mobile-Wachstum enorm (2007: iphone; 2010: ipad ) Grenze zwischen Online und Offline verschwindet Konsument denkt nicht in Einkaufskanälen und verlangt nach einem unterbrechungsfreien Einkaufserlebnis in all seinen Facetten; Kunde kauft nicht mehr über einen Kanal, sondern parallel (Omni-Channel) 2

134 Begriffe Der Begriff Digitalisierung bezeichnet die Überführung analoger Größen in diskrete (abgestufte) Werte, zu dem Zweck, sie elektronisch zu speichern oder zu verarbeiten. Im weiteren Sinne wird mit dem Begriff auch der Wandel hin zu elektronisch gestützten Prozessen mittels Informations- und Kommunikationstechnik bezeichnet. Der Begriff Digitale Revolution (oder auch dritte industrielle Revolution) bezeichnet den durch die Digitalisierung und Computer ausgelösten Umbruch, der seit Ausgang des 20. Jahrhunderts einen Wandel sowohl der Technik als auch (fast) aller Lebensbereiche bewirkt. Quelle: Wikipedia 3

135 Warum Digitalisierung funktioniert 1 Digitalisierung im Handel ist NICHT E-Commerce. Digitalisierung ist die Einbettung aller Prozesse in eine durchgängige IT-Struktur. Digitalisierung betrifft alle Branchen. 4

136 Warum Digitalisierung funktioniert 2 Technologie Internet Investition Kunde 5

137 Warum Digitalisierung funktioniert 3 Technologie Großer technologischer Fortschritt Technologien sind marktreif und keine Prototypen mehr Internet Als Schnittstellensprache Großer Nutzenzuwachs dank Smartphones Investition In Zukunftsprojekte (Projekte, die zu dem Zeitpunkt kein Geld einbringen) Investitionen tragen heute erste Früchte Kunde Kunde stellt hohe Erwartung an Unternehmen Erwartung resultiert aus Smartphone- und Tablet-Nutzung 6

138 Aspekte der Digitalisierung Beispiel 1 RFID 1 RFID Chips (Radio-Frequency- Identification) dienen der berührungslosen Identifikation von Dingen via Radiowellen. RFID-Chips in Form eines Aufklebers kosten derzeit wenige Cents, Tendenz fallend. Insb. in der Lagerlogistik extrem spannend. Im ersten Schritt wird jede Palette, im zweiten Schritt jeder Artikel mit RFID- Chips ausgestattet. Das hat zur Folge 7

139 Aspekte der Digitalisierung Beispiel 1 RFID 2 Der Standort jedes Artikels ist jederzeit bekannt. Ebenso die Menge. Dies gilt nicht nur für Artikel am Lagerplatz. Das gilt auch für Artikel im Transport (auf dem Gabelstapler, im LKW, auf dem WIP-Lagerort etc.). Kleine Auswahl von Auswirkungen: Nachverfolgen JEDES Artikels in Echtzeit. Inventur und Bestandsinformation auf Knopfdruck. Automatisierung von Lagebuchungen durch Standortverlagerungen (z. B. Umlagerung oder Gefahrübergang Spedition) 8

140 Aspekte der Digitalisierung Beispiel 2 Digitale Identitäten 1 Mit biometrischen Verfahren ist die Identität eines jeden Menschen eindeutig und sicher bestimmbar. Kleine Auswahl von Charakteristiken: Fingerabdruck Iris-Scan Gesichtscharakteristiken Geruch (DNA) Mit aktuellen Verfahren ist eine eindeutige und berührungslose Identifikation möglich. 9

141 Aspekte der Digitalisierung Beispiel 2 Digitale Identitäten 2 Es setzt sich immer mehr eine kameragesteuerte Erkennung und Interpretation menschlichen Verhaltens durch. Eindeutige Identifikation eines Kunden beim Betreten der Verkaufsstelle. Identifikation von Blickrichtungen, Laufwegen. Verknüpfungen mit Kaufdaten führt zu einer individuell möglichen Kundenansprache. 10

142 Aspekte der Digitalisierung Beispiel 3 Datenaustausch 1 Das Internet hat sich als Universalsprache durchgesetzt: Die Welt spricht TCP/IP. Weltweit verfügbare Breitband-Netze erlauben eine sofortige Datenübertragung auch großer Datenmengen. 11

143 Wenn man Aspekte der Digitalisierung kombiniert 1 Der Kunde betritt die stationäre Verkaufsstelle und wird optisch identifiziert. Auf für ihn interessante Artikel wird der Kunde hingewiesen. Er markiert Artikel für die spätere Zusendung. Andere Artikel legt er direkt in den Einkaufswagen. Beim Verlassen der Verkaufsstelle werden automatisch die Artikel seinem Kundenkonto zugeordnet und Konditionen berechnet. Logistische Aufträge werden automatisch generiert. Bedarfe werden automatisch an Lieferanten übermittelt. Die Bestandsführung ist minimal. 12

144 Wenn man Aspekte der Digitalisierung kombiniert 2 Via 3D-Druck werden einige Artikel sofort produziert. Drohnenauslieferung erfolgt innerhalb von 60 Minuten. Es gibt Prosecco und Schnittchen. In diesem Szenario ist Industrie 4.0 ein begrifflich überflüssiger Wurmfortsatz der digitalen Transformation. 13

145 Generationswechsel IT-Mitarbeiter Derzeit fehlen mehr als Fachkräfte in der IT (Quelle: Bitcom Studie 11/2014). Davon ca bei Unternehmen der IT-Branche und in allen weiteren Branchen. Dieser quantitative Mangel wird verstärkt durch qualitative Mängel (d. h. fehlende Kenntnis aktueller Technologien, Projektmanagement etc.). Der Krieg um die Köpfe läuft. 14

146 Generationswechsel IT-Mitarbeiter Generation Y + Z Vollständig verändertes Arbeits- und Kommunikationsverhalten! 15

147 Generationswechsel IT-Leitung 1999/2000 gab es die letzte große Welle an Systemwechseln. In diesem Zusammenhang haben auch in der IT viele Leitungsfunktionen gewechselt. Neben der neuen zu erwartenden Welle an Systemwechseln ist auch aus Altersgründen in vielen, insb. mittelständischen Unternehmen, mit einem Wechsel der IT-Leitung zu rechnen. Know-how und Wissensmanagement sind dringend notwendig! 16

148 Veränderungen bei Mitarbeitern Die Gewinnung einer ausreichenden Anzahl qualifizierter Mitarbeiter wird die Kernherausforderung der Digitalisierung insbesondere bei mittelständischen Unternehmen. Dabei werden die veränderten Wertevorstellungen bezüglich des Begriffes Arbeit eine wesentliche Rolle spielen. Wissensmanagement und Verfahrensdokumentation werden, nicht nur aus Compliance- Gründen, entscheidend sein für den Unternehmenserfolg. 17

149 Fazit Die Digitalisierung wird an keinem Unternehmen und keinem Menschen spurlos vorübergehen. Geschäftsmodelle werden sich radikal ändern. Mitarbeiter Nur wer in der IT frühzeitig Geschwindigkeit, Qualität und Ordnungsmäßigkeit (Compliance) unter Berücksichtigung von IT-Sicherheit miteinander in Einklang bringt, wird am Markt bestehen. Digitalisierung beginnt bei einer Strategie. Compliance Change Technologie 18